Уж извините за форму написания ведь он почти первый (че-то я в последнее время расщедрился)

Мини тутор по снятию триал-защиты с игр от Alawar`a

Инструмент: Shadow with bpmx да голова
Кролик : Игра "Разгадай код Да Винчи"

Как обычно приобрел очередной ComputerBild и на диске прилагаемом к нему нашлась игруха от алавара
"Разгадай Код Да Винчи". На все про все наиграться мне отвели 30 минут а игруха класная новый вариант
Lines.Поскольку я никогда не смотрю что мне нужно оттдать за то чтобы вдоволь насладится очередным
программным продуктом пришлось на время отложить работу и взятся за сей продукт.
При первом рассмотрении PEid нашел Aspr.Периодически лазить в реестр и что нибудь там чистить это не по мне.
Не долго думая обработал поделку stripper`ом.Получилось.Причем stripper сказал что триал инфы
не используются. Уже интересно ДА.
Однако продукт после распаковки запускаться не захотел и улетал в несуществующие адреса.
Как же так несправедливо получается уже потрачено 5 минут драгоценного времени впустую 8-( не отступать
рано продолжим. Загрузил дамп в shadow и своим трейсером дошел до места где вызываются не существующие адреса.
Выглядело это место примерно так call dword [4383a8] где по этому адресу лежало 00401440 естественно указывающее
вникуда. Беда но зачем же отступать. Я рассудил так раз такой call есть значит что-то не до конца обработало
дамп не доведя до ума т.е. при распаковке процедуры приведения проги до нормального вида не включались
а сидели в апи аспра т.е. где то же они есть.Поиском всех референсов на адрес 004383а8 нашлась интересное
место:

1 PUSH da_vinci.0040E36D ; /Arg5 = 0040E36D
2 PUSH DWORD PTR DS:[428F44] ; |Arg4 = 00000000
3 PUSH da_vinci.0042839C ; |Arg3 = 0042839C
4 PUSH da_vinci.004210DC ; |Arg2 = 004210DC ASCII "GetLocaleInfoW"
5 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
6 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
7 JMP DWORD PTR DS:[42839C] ; da_vinci.0040D9F0
8 PUSH da_vinci.0040E24E ; /Arg5 = 0040E24E
9 PUSH DWORD PTR DS:[428F40] ; |Arg4 = 00000000
10 PUSH da_vinci.004283A8<---вот он адресок ; |Arg3 = 004283A8
11 PUSH da_vinci.004210EC а это то что должно быть --> ; |Arg2 = 004210EC ASCII "GetProcAddress"
12 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
13 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
14 JMP DWORD PTR DS:[4283A8]
15 PUSH da_vinci.0040E2AA ; /Arg5 = 0040E2AA
16 PUSH DWORD PTR DS:[428F3C] ; |Arg4 = 00000000
17 PUSH da_vinci.004283B8 ; |Arg3 = 004283B8
18 PUSH da_vinci.004210FC ; |Arg2 = 004210FC ASCII "LoadLibraryW"
19 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
20 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
21 JMP DWORD PTR DS:[4283B8] ; da_vinci.0040DA3A

Осмыслив данный кусок кода начинаю понимать что это то что надо однако ни одного референса на 1 строку
решаю рискнуть выставляю оер на строку 8 и жму F8 до 14 строки и о радость по адресу 4383a8 цифирки
меняются на почти (внимательно) валидные адреса.


1 PUSH da_vinci.0040E36D ; /Arg5 = 0040E36D
2 PUSH DWORD PTR DS:[428F44] ; |Arg4 = 00000000
3 PUSH da_vinci.0042839C ; |Arg3 = 0042839C
4 PUSH da_vinci.004210DC ; |Arg2 = 004210DC ASCII "GetLocaleInfoW"
5 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
6 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
7 JMP DWORD PTR DS:[42839C] ; unicows.GetLocaleInfoW
8 PUSH da_vinci.0040E24E ; /Arg5 = 0040E24E
9 PUSH DWORD PTR DS:[428F40] ; |Arg4 = 00000000
10 PUSH da_vinci.004283A8 ; |Arg3 = 004283A8
11 PUSH da_vinci.004210EC ; |Arg2 = 004210EC ASCII "GetProcAddress"
12 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
13 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
14 JMP DWORD PTR DS:[4283A8] <-видите куда теперь он указывает ; unicows.GetProcAddress

И так если использовать данную процедуру (их кстати 2 не небольшом расстоянии друг от друга
и дальше (естественно пропуская jmp`ы) можно полностью раскодировать импорт, он там небольшой
около 20 имен функций.Но вот зараза если внимательно приглядеться то можно заметить что GetProcAddress
находится не во всеми любимом kernel32.dll а в какои то херне под названием unicows.dll (Кстати
это микрософтовская библиотека я так не хера и не понял зачем она нужна.Плюс с ней программа не пожелала
запускаться. Чтож отступать поздно потрачено уже около 25 минут.Думаю дальше. Далее найдется
до фига желающих меня обласкать за то что я пошел обходным путем однако ничего не попишешь в тот
момент ко мне пришла такая идея. Я взял да подставил в эту микротаблицу импорта правильные адреса
всех фунции т.е. теперь по адресу 4283a8 лежал указатель не на unicows.GetProcAddress а на
kernel32.GetProcAddress.
Все прекрасно прога запустилась но функции триала остались. Думаю дальше ведь времени уже потрачено
около 40 минут.
Анализ данного импорта показал что wrapper юзает функции в том числе CreateFile и CreateProcess,
WriteProcessMemory т.е. по сути wrapper создает отдельный файл и потом его контролирует.
Что ж ставим бряки на эти функции и отпускаем прогу нажимаем в ней продолжать играть и вываливаемся
на создании файла game32.img.(нужно только поменять атрибуты для файла на Normal) Все вроде бы готово.
Уф.Глушим прогу Переименовываем его в game32.exe и пытаемся запустить и...... ОБЛОМ. Прога не
запускается. Думаю дальше. Посмотрим на oep (game32.exe) и видим что не все так просто просто там ничего
нет. Загружаем в олю родителя оставляем бряки на старом месте.СТАРТ. Проходим как описано выше до создания
дочки (game32....) жмем еще раз f9 и вываливаемся на бряке WriteProcessMemory первый пропускаем он просто
записывает дочку а вот когда прогавалится еще раз смотрим что же она пишет и о боги видим что в наш
game32... на место оер записывается 6 байт посмотрев в буфер запоминаем их а затем подправляем наш
game32.exe. все игра заработала..Облегчение.....

P.S. Я не знаю сколько продержится эта защита после опубликования данного минитутора пользуйтесь пока.

| Сообщение посчитали полезным:

r99
Да хрен его знает. На любителя. --> Выбирайте <--. Он-лайн игры анвраппер зарегаными не сделает, там другая песня.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

r99
Например, -->Astral Masters<--. Правда, когда я ее смотрел последний раз, там всей защиты было - скрытый файл - экзешник игрушки и враппер-лаунчер. Соответственно все решалось удалением лаунчера и запуском игры напрямую.

| Сообщение посчитали полезным:

Странно, сейчас ещё скачал игру "Как достать соседа", версия враппера 3.1.4.1410, а на видео, которое выкладывал, была 3.1.4.1370. Апдейт? Алаваровцы переместили ехе в папку bin, короче, модификация! Будем апдейтить...

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL
На версию враппера не обращай внимания, она меняется постоянно, правда непонятно зачем.
Что касаемо "Как достать соседа", забей, это единственная игра на портале с файлом в папке bin(просто разработчики, а не алаваровцы решили что он должен быть там).

| Сообщение посчитали полезным: artyavmu

Vovan666
Наваять фикс для общего случая для меня не должно составить труда. Тем более у меня как раз на учёбе домашка была похожая на эту задачу. Вот займусь щас, а то перед преподавателем неудобно.

Ну вот, это пофиксил, скачиваю другие игры в поисках сюрпризов...

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL
Нет там никаких сюрпризов - кроме упомянутых выше Соседа и Папиных дочек ;)
Разве что триальные метки в реестре что сообщают врапперу что мы с ним не честно ведем себя. Но это тоже после снятия враппера до борозды ;)

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Не, с дочками никаких проблем не возникло. Кстати, эта версия враппера, походу, какая-то глючная - после закрытия окна враппера всё время выскакивает окно, сообщающее о чём-то типа access violation. Вот рукожопые алаваровцы.

В общем, подумал и решился зарелизить. Может, кому и сгодится. --> Релиз <--

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

какая тут актуальная местная ломалка нынче? в шапку вынесите поделки чтоли, столько страниц читать устанешь

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev
На руборде в шапке есть.
от PE_Kill zalil.ru/33633515
от FFF (на их дистро fff.defcon5.biz)
и самая новая от Vovan666 v1.81 от 24.11.13 _http://rghost.ru/private/50451629/6a93aeb89c0a94030db7ee85af0ab294

Vovan666 пишет:
Не самая новая, в той версии косяк с сигнатурой isRegistered
Спасибо, буду знать и иметь на вооружении.

-----
ds

| Сообщение посчитали полезным:

DimitarSerg пишет:
и самая новая от Vovan666 v1.81 от 24.11.13
Не самая новая, в той версии косяк с сигнатурой isRegistered
http://rghost.ru/51695271
А вообще, для алавара, только ленивый не сделал ломалку под своим именем, штук 10 пачеров,анврапперов, и прочих триал ресетов точно есть.

| Сообщение посчитали полезным: Isaev

Vovan666 пишет:
для алавара, только ленивый не сделал ломалку под своим именем
делал несколько в своё время, но они достали постоянно править по паре байт)
это же надо постоянно следить, что конечно лениво, да и времени сейчас нет

твоя на ура отработала

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev
К сожалению,прекрасная утилитка ушла в прошлое,так как даже в английских версиях игр убрали ключ в открытом виде.

| Сообщение посчитали полезным:

artyavmu пишет:
К сожалению,прекрасная утилитка ушла в прошлое,так как даже в английских версиях игр убрали ключ в открытом виде.
Какая потеря для всего человечества. На раз взламываются алаваровские игры. Никогда там никакой ключ не нужен был. Его правильность ввода или выбор триала лишь инициировали вызов WriteProcessMemory каждый раз при попытке начать игру.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным: ClockMan

Запустил игру Звездная история. Побег с Горизонта,попытался сделать dump с помощью petools 2006, вроде бы сделал, но попытавшись открыть его в odbg110 получил

Process ’StarStory' is active. If you terminate it now, process wi be
unable to clean up and write unsaved data to disk. Do you realty
want to terminate active process?
Note: you can permanently disable this warning in Options |
Security.

odbg110 просто не загружает файл.

Попытался запустить так же StarStory.wrp в odbg110 ,ответ тот же. Деббагер просто зависает.
Это первая такая игра,на остальных проблем не было. Может у кого то есть идея.

| Сообщение посчитали полезным:

Есть простая идея. Прочти все что описано в этом топике и вопросы сами отпадут. А по факту, ты ни чего не написал из того что ты сделал, кроме как запустил дебагер.

| Сообщение посчитали полезным:

Cigan пишет:
Есть простая идея
мне не нужно читать этот топик.Давно прочитано.
Все плагины стоят. Что я должен сделать,если дебаггер пустой. Я понимаю,что файл блокирует Olly но чеоез что понять не могу.

Добавлено спустя 1 час 20 минут
Всем спасибо.Всё решил

| Сообщение посчитали полезным:

artyavmu пишет:
Всем спасибо.Всё решил
Может опишешь как, а то с такими топиками здесь реально читать нечего будет..

| Сообщение посчитали полезным:

sefkrd пишет:
Может опишешь как
Да и описывать просто нечего.
В папке с игрой стояли два файла player_win_x86.pdb, я их просто удалил из папки и деббагер запустился.Вот как то так.

| Сообщение посчитали полезным:

Подскажите.
При загрузке в olly деббагер вылетает вот такая ошибка. Никогда не встречал.
Bad or unknown format of 32-bit executable file C:\Program
Rles\Alawar\Полуночный зов. Мудрый дракон.Коллекционное издание\MidnightCalling_WtseDragon_CE.wrp.exe,
а дальше всё нормально грузится,но тогда проблемы со взломом. Совет по взлому не нужен.

| Сообщение посчитали полезным:

artyavmu пишет:
Bad or unknown format of 32-bit executable file
Переводится,как плохой или неизвестный формат 32-битного исполняемого файла,а далее указана директория и конкретный файл,про которого это сообщение.

| Сообщение посчитали полезным:

artyavmu, кривой PE хидер. Можешь пофиксить в PE редакторе, можешь заюзать плаги для ольки. Практически все анти-анти отладочные плагины умеют это.

| Сообщение посчитали полезным:

TryAga1n
Наверно кривой PE ,а плагины все стоят.
BiteMoon
Спасибо за перевод

| Сообщение посчитали полезным:

Может, уже было что-то подобное, ну да ладно. Сделал свой извлекатель ключей для последних версий враппера (когда ключ зашифрован)

http://sendfile.su/1495976

Как использовать:
- забэкапить оригинальный враппер
- скопировать экстрактор в папку с игрой
- запустить игру
- появятся файлы wrapper_config.txt и %game_id%_key.reg (второй можно запустить - игра зарегается)
- вернуть оригинальный враппер

| Сообщение посчитали полезным: artyavmu, korsaring

Древнейшая моя поделка. Может кому интересно будет сорцы глянуть: --> Link <--

| Сообщение посчитали полезным:

lx60 пишет:
http://sendfile.su/1442005

а можно еще раз ссылочку на кейген или может кто делал кейген для зашифрованных ключей?

| Сообщение посчитали полезным:

ID21l5X попробуй >>ЭТО<<

| Сообщение посчитали полезным:

ID21l5X пишет:
а можно еще раз ссылочку на кейген или может кто делал кейген для зашифрованных ключей?
ключи с кейгена вроде проверяются на сервере, поэтому защита их банит. хотя могу ошибаться
надёжнее в реестр ключ записывать, либо расшифровать .exe

| Сообщение посчитали полезным:

BiteMoon пишет:
ID21l5X попробуй >>ЭТО<<
Ну с dll я и так знаю. И про то как сдампить игру тоже. Но интересно другое как сейчас зашифрован кейген.

был такой кейген ext.exe от Вована (не исключаю что было и другое название).
Он работал с англ. версиями до поры до времени. Сейчас перестал.

| Сообщение посчитали полезным:

ID21l5X
был такой кейген ext.exe от Вована (не исключаю что было и другое название).
Он работал с англ. версиями до поры до времени. Сейчас перестал.
Не работает,потому что нет привязанного ключа в играх. Убрали в открытом виде.

| Сообщение посчитали полезным:

artyavmu пишет:
Не работает,потому что нет привязанного ключа в играх. Убрали в открытом виде.
ключ в зашифрованном виде, который сначало нужно расшифровать.
и скорее всего части этого ключа разбросаны по коду. Который собирает враппер и после чего расшифровывает сам ключ. Получается нужно сначала собрать воедино потерянные кусочки этого ключа, дешифровать его и уже потом можно вытаскивать. А непросто подменили пару байт в открытом ключе, как раньше.

| Сообщение посчитали полезным: